NIST и RSA отзывают стандартизированный алгоритм ГСЧ из-за «возможного бэкдора»

понеслось по новой и теперь в новых узких кругах?

Вот тебе бабушка и эллиптические кривые... :-/

ECDSA теперь нельзя? Или это о другом?

Весело, чо.

А кто-то сомневался, что у Большого Брата все это ваше шифрование под надежным контролем?

Одновременно с этим, корпорация RSA призвала своих клиентов отказаться от использования Dual EC DRBG. Продукты RSA bsafe и Protection Manager используют этот алгоритм по-умолчанию.

Список использующих компаний можно добавить.

В связи с такими новостями мне кажется, что было бы крайне неплохо, если бы существовала какая-нибудь некомерческая общественная(и главное - максимально прозрачная) организация вне юрисдикции США, которая бы нанимала независимых экспертов и проверяла так называемые «стандарты» на проблемные места.

А лучше объявляла бы свои конкурсы и делала свои стандарты. Ну вы понимаете, с преферансом и дамами.

Ты новость-то читал? И проверяли и критиковали, но его всё равно пропихнули.

спуститесь на землю уже, а.

хотя европейцы могли бы что-нибудь противопоставить...

В новости можно найти и хорошее - таки NSA не всесильна, и в NIST есть люди, которые могут пойти против, пусть даже и не сразу и под давлением общественности. А ведь могли бы игнорировать дальше, наверняка их об этом усиленно «просили».

независимых экспертов

Кмк, с этим всё достаточно хорошо. Тысячи исследователей занимаются проблемами криптографии, постоянно выходит множество публикаций (не знаю какого качества). И по этому алгоритму сразу была конструктивная критика. Просто у госсударства есть власть чтобы пропихивать удобные для себя решения. В частности, могут объявить «всё что не по ГОСТу» вне закона.

Список наверняка неполный, но в основном библиотеки: openssl, blackberry, samsung, microsoft - полный спектр. Стандарт, чо уж там. Интересно, что только RSA заявления сделала. Пиарятся что ли?

Сто лет в обед как читал про этот бекдор в Компьютерре — лет 5 назад, если не больше.

Тогда: параноик утверждает, что в системе бэкдор! Всем бояться!!! ХА-ХА-ХА!

Сейчас: а может таки и бэкдор… [shuffle.png]

В связи с такими новостями мне кажется, что было бы крайне неплохо, если бы существовала какая-нибудь некомерческая общественная(и главное - максимально прозрачная) организация вне юрисдикции США, которая бы нанимала независимых экспертов и проверяла так называемые «стандарты» на проблемные места.

Парадокс в том, что организациям вне юрисдикции США будет ещё меньше доверия. Например, организации из какой страны было бы доверие большее, чем из США?

Шанхайская организация сотрудничества

На данный момент меньше уже не получится. Написано США — читаешь «есть бэкдор, инфа 146%».

Не тот ли самый алгоритм в библиотеках для шляпки и федорки отключен? Видно неспроста

Последней каплей для NIST стали разоблачения Эдварда Сноудена, который в одной из публикаций на тему внедрения бэкдоров в стандарты шифрования, явно указал на стандарт NIST 2006 года.

и вот, епрст, до этого «разоблачения» ну никак нельзя было догадаться, епрст, а то, что

In August 2007, Dan Shumow and Niels Ferguson discovered that the algorithm has a vulnerability which could be used as a backdoor. http://en.wikipedia.org/wiki/Dual_EC_DRBG

-- это, конечно, совершенно ничего не значит, а вот когда сноуден че-то там брякнул, тогда дааа

Шанхайская организация сотрудничества

да-да, быть под колпаком китайской спецслужбы намного приятнее /сарказм/

а теперь по теме: вернули на доработку, т.к. о бэкдоре там только ленивый не знает (и еще хомячки, которым сноуден — откровение)

На данный момент меньше уже не получится. Написано США — читаешь «есть бэкдор, инфа 146%».

да, хомячки они такие, у них если и проценты, то только 146%, не меньше

Люди старались, придумывали, внедряли, подкупали.. И ведь не зла ради, а для мира во всем мире. Никакого уважения к чужому труду.

Люди старались, придумывали, внедряли, подкупали.. И ведь не зла ради, а для мира во всем мире. Никакого уважения к чужому труду.

плохо значит старались

хороший бэкдор просто так не заметишь

Вот тебе бабушка и эллиптические кривые

Так уже давно известно, что их АНБ разрабатывало.

Парадокс в том, что организациям вне юрисдикции США будет ещё меньше доверия.

Это еще почему?

Вот тебе бабушка и эллиптические кривые

Так уже давно известно, что их АНБ разрабатывало.

с уверенностью не скажу, но по-моему ты тоже попсу несешь

эллиптические кривые достаточной степени сами по себе ломать еще (вроде как) не умеют, так что там одна эллиптическая кривая *защищала* бэкдор — чтобы им не смогли пользоваться посторонние

Пасквильпрограммисты дрожат за свой ГСЧ: торнады Мерсенна с бекдорами или без?

Давно пора.

вот хорошая цитатка в тему:

Frankly, I'd be surprised if anyone did use it. Even before the potential backdoor was discovered back in 2007, the Dual_EC_DRBG was known to be much slower and slightly more biased than all the other random number generators in NIST SP 800-90. To quote Bruce Schneier:

«If this story leaves you confused, join the club. I don't understand why the NSA was so insistent about including Dual_EC_DRBG in the standard. It makes no sense as a trap door: It's public, and rather obvious. It makes no sense from an engineering perspective: It's too slow for anyone to willingly use it. And it makes no sense from a backwards-compatibility perspective: Swapping one random-number generator for another is easy.»

I guess it's possible that the only people at NSA who ever thought the back door was going to work were too high in the hierarchy to really understand the practical issues. I can easily imagine a conversation something like this:

«The SIGINT folks keep asking for an algorithm that we can break but nobody else can. Is that possible?»

«Well, technically, yes, but it'd be really slow. Nobody's ever going to want to use it. And it'd look really suspicious, anyway.»

«Never mind that, just do it. I really want to get those guys off my back.»

The only other possibility I can think of is that maybe some people are using Dual_EC_DRBG in crypto products, simply because the NSA has been leaning on them to do so. But it still seems like an awkward way to introduce a backdoor into a cryptosystem, when it would be so much easier to just slip in a deliberate bug or two. Still, it's a NIST-approved algorithm, so using Dual_EC_DRBG could at least let you legitimately claim that your code has been tested and validated, while still having a backdoor. ( http://crypto.stackexchange.com/a/10192 )

http://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbgval.html — там целый список, но большинство вместе с Dual_EC_DRBG сертифицируют и другое

Пусть переходят на ГОСТ ;)

Продукты RSA bsafe и Protection Manager используют этот алгоритм по-умолчанию.

Конечно, о системном гпсч мелкомягкой операционки автор скромно умолчал.

Вот тебе бабушка и эллиптические кривые... :-/

Тебе и intelfx: дискретный логарифм на ЭК пока считать не научились. Бэкдор может заключаться в том, что точка ЭК, используемая в Dual EC DRBG может быть произведением генератора группы точек на известную АНБ константу.

Тем не менее, можно смело использовать этот же алгоритм, заменив стандартизированную точку на свою.

В связи с такими новостями мне кажется, что было бы крайне неплохо, если бы существовала какая-нибудь некомерческая общественная(и главное - максимально прозрачная) организация вне юрисдикции США, которая бы нанимала независимых экспертов и проверяла так называемые «стандарты» на проблемные места.

Я еще раз повторюсь - доказана _возможность_ бэкдора. Т.е. что АНБ могло сохранить число, использовавшееся для генерации некоторых констант алгоритма.

Ну и что, что это только возможность? Как это противоречит моим словам?

В принципе, никак. Проблема в другом - нельзя просто так взять и испортить жизнь властям США. После этого придется быстро, добровольно или принудительно, переходить-таки под их юрисдикцию.

О возможности бэкдора в данном ГПСЧ известно уже давно, но до Сноудена итим беспокоились только 3,5 анонимуса, не способные разбудить чувство здоровой паранойи во всех остальных.

Конечно, о системном гпсч мелкомягкой операционки автор скромно умолчал.

Оффтопик, не?

О возможности бэкдора в данном ГПСЧ известно уже давно, но до Сноудена итим беспокоились только 3,5 анонимуса, не способные разбудить чувство здоровой паранойи во всех остальных.

Дык новость вроде не про обнаружение боянистого бэкдора, а про ситуацию в целом.

По делу то есть что сказать, нехомячок? :}

Проблема в другом - нельзя просто так взять и испортить жизнь властям США. После этого придется быстро, добровольно или принудительно, переходить-таки под их юрисдикцию.

Вспомним старую китайскую мудрость. Что делать королю обезьян, если он оказался между двух своих сильных врагов, тигром и львом? Столкнуть их друг с другом! Так и тут. Было бы идеально как-нибудь так сыграть на разногласиях мировых держав, чтобы оказавшись в опале у одного, в тоже время оставаться под покровительством у другого и наоборот.

Вспомним старую китайскую мудрость

Угу, а они там, эти самые большие державы, об этом фокусе не догадываются. И не используют разногласия малой и большой держав чтобы еще более эффективно пить кровь с малой. Тупые львы не смогут изловчиться и отгрызть обезьянью ногу пока того душит тигр? Пекратите сочинять про китай, это просто выездная американская промышленность, захотят - вернут все в пару месяцев, просто перестанут с «большой земли» технологии поставлять, там само загнется, старье никому не нужно.

In August 2007, Dan Shumow and Niels Ferguson discovered that the algorithm has a vulnerability which could be used as a backdoor

то, конечно, совершенно ничего не значит, а вот когда сноуден че-то там брякнул, тогда дааа

Сноудена тоже проигнорировали бы, если бы его так активно не пытались заткнуть :) Раз уж страны НАТО перехватывают дипсамолёт, где ожидается Сноуден, значит к нему стоит прислушаться :)

Шанхайская организация сотрудничества

Это ирония?

Доверие к США ушло в прошлое.

А, ясно. Благодарю.

Да там вроде бы уже было исследование на эту тему.

Вот только непонятно почему его в OpenSSL включили.

Зачем компаниям использовать этот стандарт, если известно что там бекдор?
Я понимяю что эппл или микрософт заставляют но, зачем это независимым компаниям?

Вот только юмор ситуации в том, что Сноуден может оказаться ярым патриотом своей страны, действующим в строгом соответствии с инструкциями АНБ. И цель всей этой шумихи - выпилить последний непробекдоренный метод :)

Вот если бы можно было обязательно требовать ровно двух ключей - один по алгоритму, считающемуся уязвимым на основе слухов ( без формального доказательства ), и второй - не считающийся уязвимым :)